在存储过程中将字符串作为纯文本插入 SQL 查询
[英]Insert string into SQL query as plain text in stored procedure
问题描述
我正在尝试在 SQL 服务器中编写一个存储过程,以检查列中是否存在搜索输入。
SELECT *
FROM Product
WHERE @Type LIKE @SearchResult
我的问题是,当我从用户的输入中获取@Type时,它以字符串形式出现在 SQL 因此语法错误并返回NULL 。
有没有办法摆脱单引号或将其转换为 SQL 中的纯文本?
因此,如果@Type是“ProductName”,它将在 SQL 中显示为
SELECT *
FROM Product
WHERE ProductName LIKE @SearchResult (no single quotes around `ProductName`)
1 个解决方案
解决方案1
1 已采纳 2020-04-20 23:12:19
您必须使用动态 SQL 来替换查询中的常量以外的任何内容:
DECLARE @sql NVARCHAR(MAX);
SET @SQL = 'SELECT * FROM Product WHERE @Type LIKE @SearchResult';
SET @SQL = REPLACE(@SQL, '@Type', @Type);
exec sp_executesql @sql,
N'@SearchResult NVARCHAR(MAX)',
@SearchResult=@SearchResult;
您仍然可以使用参数传递@SearchResult值。
SQL Server中的存储过程,带有选择查询,如果条件成立,然后插入查询
[英]Stored procedure in SQL Server with select query then if condition and then insert query
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.